` 같은 형태로 props에 들어가거나 client component의 prop으로 전달되면, server-side 렌더링 결과 HTML과 RSC payload에 그대로 실린다. 사용자에게 노출된다.
PR diff에서는 그저 "server에서 환경 변수를 읽어 export하는 모듈"일 뿐이고, 그 export가 어디까지 흘러가는지는 호출 그래프를 따라가야 보인다. 이런 경로는 PR diff로는 잡히지 않는다.
#### 어떻게 잡는가
- [`server-only`](https://www.npmjs.com/package/server-only) / [`client-only`](https://www.npmjs.com/package/client-only) 패키지로 경계를 강제. 모듈 top에 `import 'server-only'`만 적어두면 client에서 import할 때 빌드가 깨진다. secret을 다루는 모듈에는 반드시 붙인다.
- [eslint-plugin-react-server-components](https://www.npmjs.com/package/eslint-plugin-react-server-components) 같은 lint 규칙
- Next.js Bundle Analyzer(Turbopack)나 `@next/bundle-analyzer`(Webpack)로 client chunk treemap을 직접 확인
- `next build` 출력의 First Load JS를 정기적으로 모니터링
그래도 transitive하게 새는 경우는 잡기 어렵다. server-only 마커가 모든 보호용 모듈에 일관되게 붙어 있어야 효력이 생긴다.
### 5. Transitive dependency duplication
A 라이브러리가 `zod@3.22`, B 라이브러리가 `zod@3.23`을 요구하면 npm/pnpm은 둘 다 설치한다. lockfile에서는 보이지만 PR diff에서는 안 보인다. bundle에는 zod가 두 번 들어간다.
#### 단순 중복이 아니라 버그가 되는 경우
이게 React, Vue 같은 큰 라이브러리에서 발생하면 단순한 크기 문제가 아니라 런타임 버그가 된다. 서로 다른 인스턴스의 React가 한 트리 안에서 동작하면 hooks가 깨지고, context가 안 통하고, `instanceof` 검사가 false가 된다. peer dependency가 정확히 이 문제를 막기 위한 메커니즘이지만, 잘못된 peer 범위 선언이나 강제 install로 우회되는 경우가 있다.
zod 같은 schema 라이브러리도 비슷하다. 한쪽에서 만든 schema 인스턴스를 다른 쪽에서 검증하려고 하면 `instanceof` 검사가 false가 되어 이상한 에러가 난다.
#### 발견과 해결
- `pnpm why
`나 `npm ls `로 어떤 의존성 트리를 통해 들어오는지 확인
- pnpm/npm은 `overrides`, yarn은 `resolutions`로 강제 통일
- bundle analyzer treemap에서 두 번 등장하는 모듈을 시각적으로 확인
- CI에서 lockfile 기반으로 dedup 가능 여부를 정기 점검 (`pnpm dedupe --check`)
사람이 PR마다 자발적으로 하지는 않는다. CI 파이프라인에 한 번 깔아두면 된다.
### 6. 그 외에 짧게 짚을 패턴들
각각이 깊은 분석을 요구하기보다 위 패턴들과 같은 가족이라 묶어서 짧게 짚는다. 코드에서는 한 줄, bundle에서는 자릿수 단위 비용이라는 구조다.
**런타임 CSS-in-JS의 첫 사용 비용.** styled-components, emotion 같은 런타임 CSS-in-JS는 첫 사용 컴포넌트가 만들어지는 순간 런타임 라이브러리를 통째로 끌어온다. 이미 들어 있으면 무료, 없으면 갑자기 30KB+. App Router에서는 server component와의 호환성 문제 때문에 별도 wrapping이 추가로 필요해서, bundle size와 hydration cost가 같이 누적된다.
**Polyfill 자동 주입.** `core-js` 자동 주입은 `browserslist` 설정에 따라 수십 KB씩 흔들린다. 코드에는 흔적이 없다. browserslist 한 줄을 바꾼 PR이 bundle을 50KB 늘리거나 줄이는 일이 자주 있다.
**process.env 인라이닝과 secret leak.** `NEXT_PUBLIC_*` 환경 변수는 빌드 타임에 그대로 문자열로 박힌다. 실수로 `NEXT_PUBLIC_` prefix를 붙인 secret이 client bundle에 그대로 노출되는 사고가 가끔 일어난다. PR diff에서는 환경 변수 이름만 보이고, 그 값이 client bundle에 인라이닝된다는 사실은 보이지 않는다. 추가로, bundle에 박힌 환경 변수는 deploy 시점에 고정되므로 Vercel 같은 플랫폼에서 환경 변수만 바꿔도 새 build를 트리거하지 않으면 옛 값이 남는다.
**정적 자산의 namespace import.** `import * as Icons from '@/assets/icons'`로 200개 SVG를 통째로 import하면, 사용자가 한 화면에서 5개만 보는데 200개 전부가 빌드 산출물에 들어간다. 동적 import 경로 문제와 같은 구조다. 어떤 자산이 필요한지를 사람이 명시하지 않으면 번들러는 다 포함한다.
**dev와 prod의 동작 차이.** dev 모드는 HMR runtime 포함, minification 끔, tree-shaking 약하게 적용, React.lazy chunking 정책 다름 같은 차이가 있다. dev에서는 모든 client component가 한 chunk에 묶여 보이지만 prod에서는 route 단위로 쪼개진다. 그 결과 dev에서는 보이지 않던 "특정 route 진입 시 +120KB chunk fetch"가 prod에서만 발생한다. PR을 dev로만 검증하면 이 비용이 안 보인다.
## 그래서 어떻게 할 것인가
이 모든 것을 사람이 PR에서 일일이 잡는 운영은 오래 못 간다. 결론은 하나다.
> **코드만 리뷰하지 말고, 산출물의 변화도 PR에서 보이게 만들어라.**
사람이 bundle을 읽는 게 아니라, bundle의 변화를 사람이 읽을 수 있는 형태로 PR에 노출시키는 게 진짜 해법이다. 신뢰도 순으로 정리한다.
### 1. Bundle size diff를 PR comment로 (필수)
"+12KB" 같은 숫자가 PR에 자동으로 찍히는 순간, barrel 추가나 무거운 라이브러리 설치는 자동으로 가시화된다.
#### size-limit + size-limit-action
[size-limit](https://github.com/ai/size-limit)이 가장 일반적인 선택이다. `package.json`에 다음과 같이 budget을 정의한다.
```json
{
"size-limit": [
{
"name": "main bundle",
"path": ".next/static/chunks/main-*.js",
"limit": "120 KB",
"gzip": true
},
{
"name": "page: /products",
"path": ".next/static/chunks/pages/products-*.js",
"limit": "40 KB"
}
]
}
```
[size-limit-action](https://github.com/andresz1/size-limit-action)을 GitHub Action에 붙이면 PR마다 base branch와 비교한 size delta를 코멘트로 단다. budget을 초과하면 CI가 fail이다. budget이 fail의 근거이기 때문에, "왜 +30KB가 OK인가"를 PR에서 명시적으로 정당화하게 된다. 이게 사회적 압력으로 작동한다.
#### Next.js + Vercel 환경
Next.js 프로젝트라면 `next build` 출력, [Next.js Bundle Analyzer (Turbopack)](https://nextjs.org/docs/app/guides/package-bundling), `@next/bundle-analyzer` (Webpack)을 조합해 route별 client bundle 변화를 확인할 수 있다. Vercel에 배포한다면 GitHub integration이 PR마다 deploy preview를 코멘트로 달아주므로 preview URL과 deploy 정보가 같이 노출된다. 다만 bundle 정보가 PR 코멘트에 어떤 형태로 자동 노출되는지는 CI/Vercel 설정과 버전에 따라 달라지므로, 한 번 확인하고 켜는 것이 좋다.
#### bundlewatch
[bundlewatch](https://bundlewatch.io)는 size-limit과 비슷한 컨셉이지만 별도 서비스에 history를 누적해두는 구조다. base branch와의 비교가 더 정확하고, 시계열 변화를 대시보드로 본다.
어느 도구를 쓰든 핵심은 같다. 숫자가 PR 안에 들어와 있어야 한다. 외부 대시보드를 보러 가야 보이는 정보는 결국 안 보는 정보가 된다.
### 2. 작성 시점의 import 비용 가시화
CI보다 빠른 방어선은 에디터다. [vscode-import-cost](https://marketplace.visualstudio.com/items?itemName=wix.vscode-import-cost) 같은 extension은 import 한 줄 옆에 그 모듈의 크기를 표시한다.
```ts
import {debounce} from 'lodash' // 71.5K (gzipped: 25.3K)
import {debounce} from 'lodash-es' // 1.8K (gzipped: 0.9K)
```
작성하는 그 순간에 옆에 숫자가 떠 있으면, 그 다음 줄을 적기 전에 멈추게 된다. CI보다 훨씬 싸고 훨씬 빠른 피드백이다. 단점은 강제력이 없다는 것. extension을 안 깔고 일하는 사람에게는 효력이 없다. 그래서 CI 단의 size-limit과 같이 가야 한다.
### 3. 정적 lint로 차단
도구 단에서 미리 막을 수 있는 것들.
- `eslint-plugin-import` (특히 `no-cycle`, `no-self-import`, `no-unused-modules`)
- `eslint-plugin-barrel-files`나 `eslint-plugin-no-barrel-files`
- `depcheck` / `knip`: 안 쓰는 의존성 탐지
- `server-only` / `client-only`: RSC 경계 강제
- `eslint-plugin-react-server-components`: RSC 규칙
- Next.js 자체의 [`optimizePackageImports`](https://nextjs.org/docs/app/api-reference/config/next-config-js/optimizePackageImports): barrel을 가진 패키지를 자동 변환
PR comment보다 한 단계 위. 아예 코드에 들어오지 못하게 막는 단계다. 첫 번째 방어선으로 깔아두는 게 비용 대비 가장 효율이 좋다.
### 4. package.json 변경 PR에 대한 별도 정책
`package.json`이 변경된 PR에는 별도 reviewer나 별도 체크리스트가 필요하다. 도구가 아니라 프로세스 권고다. 의존성 한 줄을 추가하는 것은 코드 한 줄을 추가하는 것과 비용 구조가 다르다는 걸 팀이 합의해두는 것 자체가 의미가 있다.
체크리스트의 최소 항목은 다음 정도면 충분하다.
- bundlephobia나 packagephobia에서 size 확인 ([성능 분석 1편](/2025/05/web-performance-analysis-1)에서 늘 권하는 첫 단계)
- ESM 지원 여부 (`"module"` 또는 `"exports"` 필드)
- `sideEffects` 선언 여부
- 같은 기능을 하는 더 가벼운 대안이 있는지
- transitive dependency가 이미 들어 있는 라이브러리와 충돌하지 않는지
GitHub Action으로 "package.json이 diff에 있으면 별도 라벨을 붙이고 designated reviewer에게 ping" 같은 자동화를 걸면, 사람이 까먹어도 프로세스가 자동으로 작동한다.
### 5. Production 산출물에 대한 정기 점검
PR 단의 도구가 잡지 못하는 누적 비용이 있다. 이건 정기적으로 들여다보는 수밖에 없다.
- [Lighthouse CI](https://github.com/GoogleChrome/lighthouse-ci)를 staging에 붙여서 LCP/TBT regression 추적
- Sentry source map 업로드해서 production에서 실제 어떤 코드가 도는지 추적
- 정기적으로 [`source-map-explorer`](https://github.com/danvk/source-map-explorer)나 webpack-bundle-analyzer로 treemap 점검
- RUM 도구 (Vercel Speed Insights, Sentry Performance, DataDog RUM 등)로 LCP/INP 분포 모니터링
PR 단의 size-limit이 이번 변경의 비용을 잡는다면, 정기 점검은 쌓여서 임계점을 넘은 비용을 잡는다. 둘은 보완 관계다.
## 그냥 매번 산출물을 push해서 빌드 결과를 비교하는 건 어떨까
여기까지 따라온 사람이라면 자연스럽게 떠오르는 발상이다. PR diff에서 산출물이 안 보이는 게 문제라면, 매 PR마다 빌드 결과까지 같이 push해서 git diff로 산출물의 변화를 보면 되지 않나? 가장 단순하고 직관적인 해법처럼 들린다.
권하지 않는다. 왜 안 되는지를 짚어두면 결론이 더 단단해진다.
### 1. Minified bundle은 인간이 읽을 수 있는 단위로 diff되지 않는다
`git diff`로 두 bundle을 비교하면 한 줄짜리 거대한 문자열 전체가 통째로 바뀐 것처럼 보인다. 변수명이 `a`, `b`, `c`로 mangling되어 있고, scope hoisting 때문에 함수 경계가 사라져 있고, 번들러의 chunk 분할이나 plugin 실행 순서에 따라 mangle 결과 자체가 달라질 수 있다. "이전과 이후의 비교"라는 행위가 의미 있는 단위로 정렬되지 않는다. 한 줄 코드 변경이 mangled bundle에서는 수백 줄 diff로 나타나고, 반대로 큰 의미 변화가 작은 diff로 보일 수도 있다.
이걸 해결하려고 unminified로 커밋하면 size가 자릿수 단위로 부풀어서 다음 문제로 직행한다.
### 2. Repo 크기 폭발
일반적인 SPA bundle은 압축 후 200KB~2MB. 매 PR마다 git에 들어가면 1년이면 수 GB 단위로 git history가 비대해진다. clone 시간이 폭증하고, GitHub LFS 비용이 들고, CI checkout 시간이 늘어난다. 모노레포에서는 더 빠르게 누적된다.
git은 같은 binary blob을 dedup하지만, minifier 출력처럼 매번 미세하게 다른 산출물에는 dedup이 거의 효과가 없다. shallow clone으로 임시방편 가능하지만, 그건 history를 보지 않겠다는 뜻이다. 그게 이 접근의 원래 목적이었으니 자기모순이 된다.
### 3. Source of truth 혼란
빌드 산출물이 repo에 있으면 누군가 산출물만 직접 수정하는 사고가 일어난다. 핫픽스 상황에서 "지금 빌드 돌릴 시간이 없으니 dist만 잠깐 고치자"가 발생한다. 그 순간 산출물이 source와 sync되어 있는지를 다시 검증해야 한다. 또 다른 검증 layer가 필요해진다는 뜻이다.
게다가 툴체인 버전이나 플랫폼 의존 plugin 차이로 환경 간 미세한 산출물 차이가 발생하는 경우가 있다. CI 환경과 로컬 환경이 같은 lockfile을 써도 OS별 binary 의존이나 plugin 동작 차이로 byte-level identical을 보장하기 어렵고, 그 결과 매 PR이 의미 없는 false-positive diff로 가득 찰 수 있다. 이걸 막으려면 빌드 환경을 docker로 완전히 고정해야 하는데, 그 비용을 들일 가치가 있는지는 별개의 질문이다.
### 4. 애플리케이션 frontend에서는 권장 관행이 아니다
라이브러리 배포 영역에서는 여전히 `dist/`를 커밋하는 프로젝트가 있다. CDN 직접 배포, 빌드 환경 없는 소비자 지원, generated artifact 리뷰 같은 목적에서다. 그러나 애플리케이션 frontend에서 빌드 산출물을 git history에 계속 누적하는 방식은 PR 리뷰 전략으로 권하기 어렵다. jQuery·Bootstrap 시대의 라이브러리 배포 관행에서는 흔했지만, 애플리케이션 bundle diff를 사람이 검토하기 위한 방법으로는 비용 대비 효용이 낮다. `.gitignore`에 `dist/`, `build/`, `.next/`를 넣는 것이 애플리케이션 쪽 표준이 된 데에는 이유가 있다.
### "그럼 deploy에는 안 쓰고, 비교 용도로만 push하면?"
여기까지 읽으면 더 좁은 변형이 떠오른다. dist를 deploy artifact로 쓰지 말고, 순수하게 비교 용도로만 매 PR마다 push해서 git diff로 산출물 변화를 확인하면 어떨까. 가장 합리적인 절충안처럼 보이지만, 위 반박들 중 핵심은 거의 그대로 살아 있다.
- minified bundle diff는 비교 용도라도 사람이 의미 단위로 못 읽는다. byte가 변했다는 건 알 수 있지만 "왜 +18KB인지"는 보이지 않는다. 비교의 정보 가치가 거의 없다.
- "비교용으로만"이라고 해서 git history에 누적되는 binary blob이 사라지지는 않는다. 별도 브랜치나 LFS로 분리하면 main history는 보호되지만, 그 시점에는 "그냥 git에 넣는다"의 단순함이 이미 사라진다.
- false positive가 비교 용도일수록 더 치명적이다. 환경 차이로 byte 차이가 한두 번 발생하는 순간 비교 신호 전체가 오염되고, 팀은 알람을 무시하기 시작한다.
unminified로 빌드해서 push하면 첫 번째 문제(diff 가독성)는 풀리지만, repo 크기가 자릿수 단위로 더 악화되고, minified production과 다른 산출물을 비교하게 되어 글의 출발점인 "사용자가 받는 코드"에서 오히려 멀어진다.
비교의 가치를 진짜로 살리려면 의미 단위로 비교 가능한 형태가 필요하다. 그건 stats JSON, size metric, module graph다. 그 시점에는 dist 자체를 git에 넣을 이유가 사라진다. 외부 시계열 서비스(RelativeCI, Codecov)가 정확히 이 발상이 정련된 형태다.
### 그런데 이 직관 자체는 절반 맞다
빌드 결과를 이전과 이후로 비교한다는 방향성은 옳다. 다만 비교 대상이 bundle 파일 자체가 아니라 bundle의 메타데이터여야 한다.
#### Bundle stats JSON
webpack/vite/rollup 모두 build 시 stats JSON을 뽑을 수 있다.
```json
{
"entrypoints": {
"main": { "size": 245678, "assets": ["main.abc123.js"] }
},
"modules": [
{ "name": "node_modules/lodash/index.js", "size": 71234 },
{ "name": "node_modules/react-dom/index.js", "size": 134567 }
],
"chunks": [...]
}
```
bundle 파일 본체가 아니라 그래프와 size 정보만 들어 있는 JSON이다. bundle의 1/100 크기로 의미 단위 비교가 가능하다. 별도 브랜치(`bundle-stats`)에 누적하거나 외부 저장소에 보내는 식으로 history를 만들 수 있다. 직접 구축하면 도구가 빈약하다는 단점이 있다.
#### 외부 시계열 서비스
[RelativeCI](https://relative-ci.com)와 [Codecov Bundle Analysis](https://docs.codecov.com/docs/javascript-bundle-analysis)가 정확히 이 모델이다. bundle을 git에 넣지 않고 외부 저장소에 시계열로 누적하면서, PR마다 "지난 main 대비 +18KB, lodash가 새로 들어왔음" 같은 코멘트를 자동으로 단다. "이전과 이후의 비교"라는 원래 직관이 정확히 이런 형태로 구현되어 있다.
#### GitHub Actions artifact
매 빌드마다 webpack-bundle-analyzer의 HTML treemap을 90일 보관. git history에는 안 들어가지만, 언제든지 과거 시점의 산출물 구조를 시각적으로 볼 수 있다. 외부 서비스 도입이 부담스러운 환경에서 가장 가볍게 시작할 수 있는 형태다.
#### 정리
| 접근 | 권할 만한가 |
| -------------------------------------- | ------------------------- |
| Bundle 파일 자체를 git history에 커밋 | ❌ 한 세대 전 실패한 패턴 |
| Bundle stats JSON을 별도 브랜치에 누적 | △ 가능하지만 도구가 빈약 |
| RelativeCI / Codecov Bundle Analysis | ✅ 가장 현실적 |
| GitHub Actions artifact로 treemap 보관 | ✅ 보조 수단으로 좋음 |
빌드 산출물 자체가 아니라 빌드 산출물의 그림자를 history에 남기는 것. 이 한 보정이 직관과 실무 사이의 거리를 메운다.
## 그래도 잘 안 켜져 있는 이유
여기까지의 도구들은 다 무료이고, 셋업도 한나절이면 된다. 그런데 실제로 frontend 프로젝트들을 둘러보면 이 중 하나도 안 켜져 있는 경우가 많다. 왜인가.
첫째, **단일 PR의 비용이 보이지 않기 때문이다.** "이번 PR이 +5KB"는 아무도 신경 쓰지 않는다. 그게 100번 쌓여야 +500KB가 되고, 그 시점에는 어느 PR이 원인이었는지 추적이 불가능하다. 누적 비용은 책임 소재가 분산되기 때문에 누구도 막지 않는다.
둘째, **도구를 켜는 순간 budget을 정해야 한다.** budget을 정하면 budget을 깨는 PR이 발생하고, 그 PR을 막을지 통과시킬지를 결정해야 한다. 결정 비용이 들기 시작하면 도구를 끄게 된다. 이걸 방지하려면 budget을 "현재 size + 약간의 여유"로 시작해서 점진적으로 조이는 운영 정책이 필요하다.
셋째, **false positive에 대한 피로다.** 툴체인 차이, lockfile 변경 없는 transitive update, 압축 전 입력의 미세한 차이가 압축 후 byte size에 비선형적으로 반영되는 경우 등으로 의미 없는 +1KB 알람이 가끔 발생한다. 이게 두세 번 반복되면 팀이 "또 그거"로 흘려버리기 시작한다. 막으려면 alarm 임계값을 적절히 잡아야 한다. 1KB 미만은 무시, 5KB 이상이면 코멘트, 50KB 이상이면 fail 같은 식의 단계적 대응.
이 세 가지를 모두 해결하지 못하면 도구는 도입되었다가 무력화된다.
## 마치며
frontend에서 "코드 리뷰가 충분하다"는 말은 절반만 참이다. 우리는 사용자가 받는 코드를 리뷰하고 있지 않다. PR diff에 +1줄로 보이는 변경이 사용자 브라우저에서 +200KB가 되는 비대칭은, 그 비용을 사람이 보는 자리로 끌어올리지 않는 한 닫히지 않는다.
여기서 제안한 해법은 새롭지 않다. 다 알려진 도구이고, 다 무료이고, 다 셋업이 어렵지 않다. 빠져 있는 건 그 도구들이 어디에 어떻게 배치되어야 하는지에 대한 관점이다. 사람이 bundle을 읽는 게 아니라 bundle의 변화가 사람의 시야에 강제로 들어와야 한다. 이 관점이 빠지면 도구 추천 글로 끝나고, 도구는 켜졌다가 꺼진다.
AI 에이전트가 자동으로 dependency를 추가하고 컴포넌트를 리팩토링하는 시대에는 이 비대칭이 사람의 속도가 아니라 에이전트의 속도로 누적된다. PR 한 개로 라이브러리 셋이 추가되고 barrel이 두 개 생기는 일이 일상이 될 때, "리뷰어가 꼼꼼히 보면 된다"는 방어선은 더 빠르게 무너진다. bundle size diff를 PR에 자동으로 띄우는 일은 그 시점에는 nice-to-have가 아니라 default가 되어 있어야 한다. 컴파일러 출력을 신뢰할 수 있게 만든 건 컴파일러가 아니라 그 주변의 검증 인프라였다는 사실을 받아들인다면, frontend에는 그 인프라가 절반만 있다는 사실부터 인정해야 한다.
[^barrel-files]: [eslint-plugin-barrel-files](https://npmx.dev/package/eslint-plugin-barrel-files) — barrel file과 관련된 흔한 실수를 잡는 ESLint 플러그인.
[^no-barrel-files]: [eslint-plugin-no-barrel-files](https://npmx.dev/package/eslint-plugin-no-barrel-files) — barrel file 자체를 disallow하는 ESLint 플러그인.